Saiba mais sobre a criptografia para uma SAN elástica do Azure
O Azure Elastic SAN usa criptografia do lado do servidor (SSE) para criptografar automaticamente os dados armazenados em uma SAN elástica. O SSE protege seus dados e ajuda você a atender aos requisitos organizacionais de segurança e conformidade.
Os dados nos volumes do Azure Elastic SAN são criptografados e descriptografados de forma transparente usando criptografia AES de 256 bits, uma das cifras de bloco mais fortes disponíveis, e são compatíveis com FIPS 140-2. Para obter mais informações sobre os módulos criptográficos subjacentes à criptografia de dados do Azure, consulte API de criptografia: próxima geração.
O SSE está habilitado por padrão e não pode ser desativado. O SSE não pode ser desativado, não afeta o desempenho da SAN elástica e não tem custo adicional associado a ele.
Sobre o gerenciamento de chaves de criptografia
Há dois tipos de chaves de criptografia disponíveis: chaves gerenciadas pela plataforma e chaves gerenciadas pelo cliente. Os dados gravados em um volume SAN elástico são criptografados com chaves gerenciadas pela plataforma (gerenciadas pela Microsoft) por padrão. Se preferir, você pode usar chaves gerenciadas pelo cliente, se tiver requisitos específicos de segurança e conformidade organizacional.
Ao configurar um grupo de volumes, você pode optar por usar chaves gerenciadas por plataforma ou pelo cliente. Todos os volumes de um grupo de volumes herdam a configuração do grupo de volumes. Você pode alternar entre chaves gerenciadas pelo cliente e chaves gerenciadas pela plataforma a qualquer momento. Se você alternar entre esses tipos de chave, o serviço SAN elástico criptografará novamente a chave de criptografia de dados com o novo KEK. A proteção da chave de criptografia de dados muda, mas os dados nos volumes do Elastic SAN sempre permanecem criptografados. Não é necessária nenhuma ação extra da sua parte para garantir que os seus dados estão protegidos.
Chaves geridas pelo cliente
Se você usar chaves gerenciadas pelo cliente, deverá usar um Cofre de Chaves do Azure para armazená-las.
Você pode criar e importar suas próprias chaves RSA e armazená-las em seu Cofre de Chaves do Azure ou pode gerar novas chaves RSA usando o Cofre de Chaves do Azure. Você pode usar as APIs ou interfaces de gerenciamento do Azure Key Vault para gerar suas chaves. A SAN elástica e o cofre de chaves podem estar em diferentes regiões e assinaturas, mas devem estar no mesmo locatário do Microsoft Entra ID.
O diagrama a seguir mostra como o Azure Elastic SAN usa o Microsoft Entra ID e um cofre de chaves para fazer solicitações usando a chave gerenciada pelo cliente:
A lista a seguir explica as etapas numeradas no diagrama:
- Um administrador do Cofre de Chaves do Azure concede permissões a uma identidade gerenciada para acessar o cofre de chaves que contém as chaves de criptografia. A identidade gerenciada pode ser uma identidade atribuída pelo usuário que você cria e gerencia ou uma identidade atribuída pelo sistema associada ao grupo de volumes.
- Um proprietário do grupo de volumes do Azure Elastic SAN configura a criptografia com uma chave gerenciada pelo cliente para o grupo de volumes.
- O Azure Elastic SAN usa a identidade gerenciada concedida permissões na etapa 1 para autenticar o acesso ao cofre de chaves por meio do Microsoft Entra ID.
- O Azure Elastic SAN encapsula a chave de criptografia de dados com a chave gerenciada pelo cliente do cofre de chaves.
- Para operações de leitura/gravação, o Azure Elastic SAN envia solicitações ao Cofre de Chaves do Azure para desempacotar a chave de criptografia de conta para executar operações de criptografia e descriptografia.